Valuta la tua strategia di sicurezza

La postura di sicurezza è la capacità di un'organizzazione di rilevare, rispondere e risolvere le minacce. Include l'idoneità del personale, dell'hardware, del software, dei criteri e dei processi di un'organizzazione nell'intero ciclo di vita del software.

Esistono diversi framework e strumenti che puoi utilizzare per valutare la tua security posture e identificare i modi per mitigare le minacce.

Pratiche di distribuzione del software

Una security posture solida richiede una base solida delle best practice per la distribuzione del software e queste pratiche vanno oltre l'implementazione di strumenti e controlli tecnici. Ad esempio, se la procedura di approvazione delle modifiche non è chiara, è più facile che modifiche indesiderate entrino nella catena di approvvigionamento del software. Se i team vengono scoraggiati dal segnalare i problemi, potrebbero esitare a segnalare i problemi di sicurezza.

DevOps Research and Assessment (DORA) esegue ricerche indipendenti sulle pratiche e sulle capacità dei team di tecnologia ad alte prestazioni. Per valutare il rendimento del tuo team e scoprire come migliorare, utilizza le seguenti risorse DORA:

  • Esegui il controllo rapido DevOps di DORA per ricevere un breve feedback sul confronto tra la tua organizzazione e le altre.
  • Scopri le capabilities DevOps tecniche, di processo, di misurazione e culturali identificate da DORA.

Framework per la security posture

NIST Secure Software Development Framework (SSDF) e Cybersecurity Assessment Framework (CAF) sono framework sviluppati dai governi per aiutare le organizzazioni a valutare la propria strategia di sicurezza e a mitigare le minacce alla catena di fornitura. Questi framework tengono conto del ciclo di vita di sviluppo del software e di altri aspetti relativi alla sicurezza del software, come i piani di risposta agli incidenti. La complessità e l'ambito di questi framework possono richiedere un investimento sostanziale in termini di tempo e risorse.

Supply chain Levels for Software Artifacts (SLSA) è un framework che mira a rendere più accessibili e incrementali l'implementazione della valutazione e della mitigazione. Spiega le minacce alla catena di approvvigionamento e le relative misure di mitigazione e fornisce esempi di strumenti per implementare le mitigazioni. Inoltre, raggruppa i requisiti per rafforzare la tua postura di sicurezza in livelli, in modo da poter dare la priorità alle modifiche e implementarle in modo incrementale. L'SLSA si concentra principalmente sulla pipeline di distribuzione del software, pertanto devi utilizzarlo insieme ad altri strumenti di valutazione come SSDF e CAF.

SLSA si ispira all'Autorizzazione binaria per Borg interna di Google, un controllo di applicazione forzata obbligatorio per tutti i carichi di lavoro di produzione di Google.

Google Cloud fornisce un insieme modulare di funzionalità e strumenti che incorporano le best practice in SLSA. Puoi visualizzare approfondimenti sulla tua posizione di sicurezza, incluso il livello SLSA delle tue build.

Gestione di artefatti e dipendenze

La visibilità delle vulnerabilità del software ti consente di rispondere in modo proattivo e di correggere le potenziali minacce prima di rilasciare le applicazioni ai clienti. Per avere una maggiore visibilità sulle vulnerabilità, puoi utilizzare i seguenti strumenti.

Analisi delle vulnerabilità
I servizi di analisi delle vulnerabilità, come Artifact Analysis, ti aiutano a identificare le vulnerabilità note nel tuo software.
Gestione delle dipendenze

Open Source Insight è una fonte centralizzata di informazioni su grafici di dipendenza, vulnerabilità note e licenze associate al software open source. Utilizza il sito per conoscere le tue dipendenze.

Il progetto Open Source Insights rende inoltre disponibili questi dati come set di dati Google Cloud. Puoi utilizzare BigQuery per esplorare e analizzare i dati.

Criterio di controllo dell'origine

Scorecard è uno strumento automatizzato che identifica le pratiche rischiose della catena di approvvigionamento del software nei tuoi progetti GitHub.

Allstar è un'app GitHub che monitora continuamente le organizzazioni o i repository GitHub per verificare la conformità ai criteri configurati. Ad esempio, puoi applicare un criterio alla tua organizzazione GitHub che controlla la presenza di collaboratori esterni all'organizzazione che dispongono di accesso amministrativo o push.

Per scoprire di più sulla gestione delle dipendenze, consulta Gestione delle dipendenze

Consapevolezza del team in materia di cybersicurezza

Se i tuoi team comprendono le minacce e le best practice della catena di fornitura del software, possono progettare e sviluppare applicazioni più sicure.

Nel report sullo stato della cybersicurezza 2021, parte 2, un sondaggio rivolto ai professionisti della sicurezza delle informazioni ha rilevato che i programmi di formazione e sensibilizzazione sulla cybersicurezza hanno avuto un impatto positivo (46%) o molto positivo (32%) sulla consapevolezza dei dipendenti.

Le seguenti risorse possono aiutarti a scoprire di più sulla sicurezza della catena di approvvigionamento e sulla sicurezza su Google Cloud:

  • Il progetto di base per le aziende con Google Cloud descrive la configurazione della struttura organizzativa, dell'autenticazione e dell'autorizzazione, della gerarchia delle risorse, della rete, del logging, dei controlli di rilevamento e altro ancora. È una delle guide del Centro best practice per la sicurezza di Google Cloud.
  • Sviluppo di software sicuro insegna le pratiche di base per lo sviluppo di software nel contesto della sicurezza della catena di fornitura del software. Il corso si concentra sulle best practice per la progettazione, lo sviluppo e il test del codice, ma tratta anche argomenti come la gestione delle informative sulle vulnerabilità, i casi di garanzia e le considerazioni per la distribuzione e il deployment del software. La formazione è stata creata dalla Open Source Security Foundation (OpenSSF).

Prepararsi al cambiamento

Dopo aver identificato le modifiche che vuoi apportare, devi pianificarle.

  • Identifica best practice e mitigazioni per migliorare l'affidabilità e la sicurezza della tua catena di approvvigionamento.
  • Sviluppare linee guida e criteri per garantire che i team implementino le modifiche e misurino la conformità in modo coerente. Ad esempio, i criteri della tua azienda potrebbero includere i criteri per il deployment che implementi con Autorizzazione binaria. Le seguenti risorse possono esserti utili:

  • Pianifica modifiche incrementali per ridurre le dimensioni, la complessità e l'impatto di ogni modifica. Inoltre, aiuta le persone dei tuoi team ad adeguarsi a ogni modifica, a fornire feedback e ad applicare le lezioni apprese alle modifiche future.

Le seguenti risorse possono aiutarti a pianificare e implementare il cambiamento.

Passaggi successivi